Merotasi certificate authority

GKE on Bare Metal menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antarkomponen sistem dalam cluster. Certificate authority (CA) cluster mengelola sertifikat dan kunci ini. Saat Anda menjalankan perintah bmctl update credentials certificate-authorities rotate, GKE di Bare Metal akan melakukan tindakan berikut:

  • Membuat dan mengupload otoritas sertifikat cluster (CA) baru untuk CA cluster, CA etcd, dan CA front-proxy ke namespace cluster pengguna di cluster admin.

  • Pengontrol cluster admin mengganti otoritas sertifikat cluster pengguna dengan otoritas sertifikat yang baru dibuat.

  • Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci leaf certificate ke komponen sistem cluster pengguna.

Untuk mempertahankan komunikasi cluster yang aman, rotasikan CA cluster pengguna Anda secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.

Sebelum memulai

Sebelum merotasi certificate authority cluster Anda, rencanakan sesuai dengan kondisi dan dampak berikut:

  • Pastikan cluster pengguna dan admin sudah menggunakan versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.

  • Rotasi CA bersifat inkremental, sehingga komponen sistem dapat berkomunikasi selama rotasi.

  • Proses rotasi CA akan memulai ulang server API, proses bidang kontrol, dan pod di cluster pengguna.

  • Workload akan dimulai ulang dan dijadwalkan ulang selama rotasi CA.

  • Untuk konfigurasi cluster dengan ketersediaan tinggi, antisipasi periode singkat periode nonaktif bidang kontrol selama rotasi CA.

  • Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.

  • Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, penyelesaian rotasi CA mungkin memerlukan waktu hampir dua jam untuk cluster dengan satu bidang kontrol dan 50 node pekerja.

Batasan

Kemampuan rotasi certificate authority memiliki batasan berikut:

  • Rotasi CA tidak memperbarui sertifikat yang diterbitkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.

  • Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.

Memulai rotasi CA cluster

Gunakan perintah berikut untuk memulai proses rotasi CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster tempat Anda ingin merotasi CA.
  • KUBECONFIG: jalur ke file kubeconfig cluster admin. Untuk mengelola cluster sendiri, file ini adalah file kubeconfig cluster.

Perintah bmctl keluar setelah CA berhasil diputar dan file kubeconfig baru dibuat. Jalur standar untuk file kubeconfig adalah bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Memecahkan masalah rotasi CA cluster

Perintah bmctl update credentials menampilkan progres rotasi CA. File update-credentials.log terkait disimpan ke direktori berstempel waktu berikut:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP